Suchen

Mangelnde Schwachstellen-Analyse in Unternehmen Wenig Augenmerk auf externe Code-Komponenten

| Autor: Stephan Augsten

Bei der Software-Entwicklung kommen immer häufiger kommerzielle und Open-Source-Komponenten zum Einsatz. Wird eine Sicherheitslücke bekannt, aktualisiert allerdings nur gut die Hälfte der Developer diese Code-Bestandteilen, heißt es in einer Veracode-Studie.

Firmen zum Thema

Im Zuge einer aktuellen Veracode-Studie gaben 93 Prozent der Befragten an, externe Code-Komponenten zu verwenden.
Im Zuge einer aktuellen Veracode-Studie gaben 93 Prozent der Befragten an, externe Code-Komponenten zu verwenden.
(Bild: Veracode)

Auf Basis einer Befragung von Vanson Bourne attestiert Veracode vielen Unternehmen, die Software selbst schreiben und weiterentwickeln, ein mangelndes Sicherheitsbewusstsein. Zwar hätten Development-Methoden wie DevSecOps die Sicherheit von Code verbessert. Die gleichen Entwicklungsprozesse legten jedoch auch Wert auf Schnelligkeit und Effizienz.

Das Erfolgsmodell der Wiederverwendbarkeit von Code wird somit aufs Äußerste forciert: Entwickler übernehmen Module und Funktionen aus bestehenden Projekten und Bibliotheken. Die Studie zeigt, dass 83 Prozent der Befragten entweder kommerzielle oder Open-Source-Komponenten verwenden, wobei durchschnittlich 73 extern entwickelte Komponenten pro Anwendung zum Einsatz kommen.

Damit sind aber auch Sicherheitsrisiken verbunden, denn gemäß der Studie enthält jede Anwendung durchschnittlich 71 extern bedingte Schwachstellen. Nicht einmal ein Viertel der Befragten (23 Prozent) testet aber den Code bei jeder Veröffentlichung auf Schwachstellen. Nur etwas mehr als die Hälfte der Unternehmen führt ein Bestandsverzeichnis aller Komponenten in ihren Anwendungen und gerade einmal 28 Prozent erfassen die Bestandteile regelmäßig.

Die Studie zeigt auch, dass Entwicklungs- (44 Prozent) oder Sicherheitsteams (31 Prozent) am ehesten für die Wartung von kommerziellen und Open-Source-Komponenten von Drittanbietern verantwortlich sind. Dies lässt darauf schließen, dass die Verantwortung zunehmend dem Entwicklungsteam übertragen wird.

Weitere Ergebnisse aus der „Open Source Survey“ finden Interessierte auf der Veracode-Webseite.

(ID:45242051)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider